Аутентификация

JWT (JSON Web Token)

JWT — компактный, безопасный для URL способ представления утверждений, передаваемых между двумя сторонами. Чаще всего используется для аутентификации и обмена информацией.

Как работает

1. api/login → создаёт JWT
2. сохранить в localStorage ← ответ с JWT
3. запрос с подписанным JWT (в заголовке) → проверка JWT

SPA

SPA и JWT.png

Сессия

FE <> DB

1. /login → сохранить сессию
2. сохранить куку ← ответ (ID сессии)
3. запрос с кукой → проверка сессии
4. ← ответ

Минусы:

Уязвимо к CSRF — подделке межсайтовых запросов

Требует серверного хранилища